Vazamento no e-SUS expõe dados de 243 milhões de pessoas. Falha foi causada por inserção de login e senha em código de site do Ministério da Saúde
Uma falha no e-SUS Notifica, sistema de notificações sobre COVID-19 mantido pelo Ministério da Saúde, permitiu que dados sigilosos de mais de 200 milhões de brasileiros ficassem expostos na internet por pelo menos seis meses.
Na semana passada, veio à tona um vazamento de senhas no Ministério da Saúde que expôs dados de 16 milhões de pessoas. O problema foi causado por um cientista de dados externo que afirma ter publicado a lista de senhas no GitHub para fazer um teste e esquecido de removê-la posteriormente. No vazamento foi divulgado dados pessoais como CPF, endereço, telefone e doenças pré-existentes. As informações foram publicadas por diversos meios de comunicação nesta 5ª feira, 26 de novembro.
Revelada pelo Estadão, a descoberta mais recente é muito mais grave, pois expôs dados de 243 milhões de cidadãos cadastrados no SUS (como nome completo, endereço, telefone e CPF). O número de registros supera o de habitantes no Brasil (estimado em 210 milhões) por também conter dados de pessoas falecidas.
Assim como no primeiro vazamento, ficaram vulneráveis até mesmo dados de autoridades, incluindo o presidente Jair Bolsonaro (sem partido), o presidente da Câmara Rodrigo Maia (DEM-RJ) e o senador Davi Alcolumbre (DEM-AP).
O Ministério da Saúde também disse que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições. Segundo 0 Ministério, os dados registrados no e-SUS Notifica não foram acessados nem expostos, porque existem camadas de segurança que garantem a privacidade da plataforma.
Novamente, o problema foi causado por um tratamento inadequado de senhas, devido as credenciais (login e senha) de acesso ao sistema terem sido inseridos no código-fonte do site e permitiam ser acessados a partir do modo de inspeção existente nos navegadores.
As credenciais foram codificadas via Base64, método que pode ser decodificado facilmente e, por isso, não funciona para proteger dados sigilosos.
Questionado sobre o problema, o Ministério da Saúde corrigiu a falha e informou ao Estadão que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”.
O jornal também constatou que o e-SUS Notifica foi desenvolvido por uma empresa de tecnologia chamada Zello (antiga MBA Mobi) que, de acordo com dados do Portal da Transparência, recebeu mais de R$ 43 milhões do governo desde 2017.
Quando questionado sobre contratar uma empresa para desenvolver o sistema mesmo com o órgão podendo recorrer ao Datasus para isso, o Ministério da Saúde informou que “a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização” e que esses serviços são fiscalizados “por servidores da casa”.
e-Saúde já vazou em 2018
No início deste ano de 2018, veio a público a notícia de que uma falha de segurança no aplicativo E-Saúde, disponibilizado pelo Ministério da Saúde, teria exposto, durante meses, dados pessoais de milhares de brasileiros usuários do Sistema Único de Saúde (SUS). Através de brecha no sistema, tornou-se possível acessar desde dados básicos, como o cartão do SUS em nome do titular, até informações médicas detalhadas, como o histórico de retirada de medicamentos e a agenda de consultas na rede pública.
Além da evidente quebra da privacidade dos cidadãos que tiveram suas informações íntimas expostas, o vazamento de dados da espécie mostra-se ainda mais sensível, em virtude do valor econômico que podem representar. Levantamentos sobre os remédios utilizados pela população e as prescrições mais recorrentes podem ser de grande valia, por exemplo, para a indústria farmacêutica e para as seguradoras de saúde.
Oportunamente, o tema vazamento de dados merece total destaque tendo em vista o recente advento da Lei nº 13.709/2018, a famigerada Lei Geral de Proteção de Dados (LGPD), sancionada pelo presidente Michel Temer no último dia 14 de agosto de 2018.
As inovações trazidas pelo novo marco legal, principalmente no que concerne à forma como o tratamento de dados pode ocorrer, colocaram o Brasil em destaque no cenário internacional, equiparando a legislação brasileira às mais avançadas legislações internacionais de segurança digital.
A revolução no processo de tratamento de dados pessoais trará consequências em diversos setores, sendo um deles, justamente, a área da saúde.
Fonte: Estadão & G1 & JOTA
Veja também:
- Microsoft Defender for Identity agora detecta ataques Zerologon
- MPDFT pede busca e apreensão e medidas cautelares contra hackers que atacaram o TSE
- 50.000 Senhas de VPNs Fortinet expostas desde 2018
- Hack de vale-presente – você paga, eles compram
- Vazamento no Ministério da Saúde expõe dados de 16 milhões de pessoas
- Como usar a estrutura Mitre ATT&CK para segurança na nuvem
- Justiça aplica Lei Geral de Proteção de Dados à Serasa Experian
- Sua senha não é segura, nem uma autenticação multifator SMS
- Microsoft confirma problema sério de senha do Windows 10
- Cavalo de Troia bancário brasileiro pode espionar mais de 150 aplicativos financeiros
- Fresh Malware visa usuários do Mercado Livre e sites de comércio eletrônico na América Latina
- O que a presidência de Joe Biden significa para a segurança cibernética
- Proteção de dados e a tutela da saúde na LGPD
Deixe sua opinião!